“Điểm sáng” về bảo vệ dữ liệu

“Điểm sáng” về bảo vệ dữ liệu

Vân Ly – Oanh Nguyễn

(TBVTSG) – Mặc dù tình hình ứng dụng thương mại điện tử và áp dụng các biện pháp bảo vệ dữ liệu cá nhân tại Việt Nam mới ở giai đoạn đầu, song đã có một số mô hình tiêu biểu được xem  là “điểm sáng” trong lĩnh vực này.

Bán vé máy bay qua mạng

Jetstar Pacific Airlines là một trong những điển hình về ứng dụng thương mại điện tử thành công. Đây cũng là hãng hàng không đầu tiên ở Việt Nam triển khai phương thức bán vé máy bay trực tuyến.

Jetstar Pacific Airlines bắt đầu bán vé điện tử trên một số tuyến bay từ tháng 3-2006 và chuyển sang áp dụng vé điện tử trên toàn hệ thống từ ngày đầu năm 2007. Đến nay, toàn bộ hoạt động đặt chỗ, mua vé, in vé và thanh toán của Jetstar đều được tiến hành thông qua Internet.

Theo số liệu thống kê của Jetstar, doanh thu bán vé qua mạng và thanh toán trực tuyến ngày càng tăng. Năm 2007, lượng khách hàng mua vé trực tuyến của hãng đạt 70% trên tổng số khách hàng. Năm 2008, con số đã tăng lên 77%.

Cùng với chiều hướng tăng số lượng vé trực tuyến bán ra, thanh toán trực tuyến cũng đạt được sự tăng trưởng đáng kể. Năm 2007, 14% trong tổng số vé bán ra của hãng hàng không này được thanh toán trực tuyến. Năm 2008, con số này đã đạt 19%.

Việc bán vé điện tử trực tuyến có thể xem là một quy trình thương mại điện tử hoàn chỉnh, trong đó toàn bộ các bước từ chọn “hàng”, đặt mua, thanh toán và giao nhận “hàng” đều được thực hiện trên môi trường Internet. Không chỉ đem lại hiệu quả kinh tế cho  doanh nghiệp, mô hình bán vé trực tuyến còn góp phần thiết lập thói quen tiêu dùng văn minh.

Trang web www.jetstar.com/vn của Jetstar đã đạt được số phiếu cao nhất trong chương trình bình chọn trang web thương mại điện tử xuất sắc năm 2008 do Trung tâm Phát triển thương mại điện tử (EcomViet) – Bộ Công thương phối hợp với Hiệp hội Thương mại điện tử Việt Nam thực hiện.

Việc triển khai bán vé trực tuyến cũng đồng nghĩa với việc Jetstar phải thu thập và xử lý một số lượng lớn thông tin cá nhân của khách hàng như họ tên, địa chỉ, số điện thoại và cả những thông tin như số thẻ tín dụng hay thẻ ghi nợ, địa chỉ gửi hóa đơn, thông tin chi tiết về thành viên của chương trình khách hàng trung thành… Do đó, Jetstar đã triển khai việc bảo vệ thông tin cá nhân của khách hàng kết hợp các giải pháp về quản lý và ứng dụng công nghệ bảo mật thông tin hiện đại.

Trang chủ www.jetstar.com/vn cung cấp đường dẫn rõ ràng để khách hàng có thể dễ dàng truy cập vào trang thông tin cá nhân, nơi giới thiệu cụ thể các vấn đề liên quan đến việc bảo vệ quyền riêng tư và thông tin cá nhân của khách hàng. Quy chế này được xây dựng dựa trên các quy định về bảo vệ quyền riêng tư của Úc là nơi có trụ sở chính của Tập đoàn Qantas Airways, cổ đông của Jetstar.

Tất cả dữ liệu cá nhân của khách hàng do Jetstar thu thập và sử dụng được bảo vệ bằng máy chủ có trách nhiệm bảo mật cho các dịch vụ có chứa thông tin mật. Thông tin này được mã hóa bằng công nghệ giao thức SSL, chỉ những cán bộ có thẩm quyền mới giải mã được thông điệp mà họ nhận được.

Chợ trên mạng

Sàn giao dịch thương mại điện tử chodientu.vn của Công ty Phần mềm Hòa Bình (PeaceSoft) được xem là một trong những trang web thương mại điện tử khá thành công ở Việt Nam. Gần đây, trang web này đã có những bước phát triển khá mạnh mẽ. Năm ngoái, tổng giá trị giao dịch của trang web này đạt 150 tỷ đồng thì quý 1 năm nay đã đạt 100 tỷ đồng và quý hai đạt 150 tỷ đồng. Số lượng người tham gia bán hàng trên trang web chodientu.vn tính đến thời điểm hiện tại là hơn 25.000 người.

Sở dĩ, chodientu.vn có được bước phát triển này là nhờ giữa năm ngoái đã “bắt tay” với tập đoàn eBay để hình thành trang web đồng thương hiệu, cho phép các cá nhân và doanh nghiệp thực hiện các giao dịch thương mại trong nước cũng như quốc tế thông qua việc kết nối với các trang web toàn cầu của eBay.

Sự thỏa thuận này không chỉ tốt cho chodientu.vn mà còn đưa Việt Nam trở thành thị trường thứ 40 mà eBay có mặt và vận hành ở thị trường nội địa. Cách nay vài tháng, chodientu.vn và eBay đã cho ra mắt dịch vụ mua hàng nhập khẩu trực tiếp từ eBay Mỹ về Việt Nam tại địa chỉ http://ebay.chodientu.vn/. Điều này mở ra cơ hội mua hàng giá rẻ hoặc các sản phẩm không có ở Việt Nam cho người tiêu dùng trong nước.

Việc eBay – một tên tuổi thương mại điện tử lớn của thế giới – “bắt tay” với một trang web trong nước được cho là tín hiệu tốt cho thương mại điện tử Việt Nam. Ngoài ra, sự gia nhập thị trường của tên tuổi lớn này đã tạo ra cơ hội và động lực để thương mại điện tử Việt Nam nâng cao sức cạnh tranh, bắt nhịp với trình độ thương mại điện tử chung của khu vực cũng như toàn cầu.

Ông Nguyễn Hòa Bình, Tổng giám đốc PeaceSoft, cho biết vấn đề an ninh, bảo mật, bảo vệ quyền lợi của khách hàng là những yếu tố được ưu tiên hàng đầu của ebay.chodientu.vn. Chính vì vậy, công ty đã phát triển thêm một công cụ thanh toán là NgânLượng.vn (được xây dựng theo mô hình của mạng thanh toán PayPal) thay vì phải có tài khoản PayPal để thanh toán khi mua hàng tại ebay.chodientu.vn.

Việc xây dựng công cụ thanh toán này là cần thiết vì phần lớn người Việt Nam chưa có tài khoản PayPal (hoặc nếu có thì tài khoản PayPal của Việt Nam không được phần lớn người bán chấp nhận vì ngại rắc rối hoặc lừa đảo do tỷ lệ lừa đảo trên PayPal từ Việt Nam trong quá khứ rất cao). Việc cổng thanh toán NgânLượng.vn liên thông với Paypal sẽ giải quyết được vấn đề này giúp cho việc mua hàng từ eBay trở nên dễ dàng hơn. Ông Bình nói: “NgânLượng.vn chấp nhận thẻ tín dụng quốc tế và nạp tiền thanh toán từ nhiều ngân hàng, liên thông được với PayPal để mua hàng từ eBay, có nguồn tài chính lớn và được nhiều nhà đầu tư nước ngoài bảo hộ…”

NgânLượng.vn được thiết kế với kiến trúc hệ thống đa tầng, nhiều lớp bảo mật như: xác minh giao dịch bằng mật khẩu sử dụng một lần (OTP) và gửi tới điện thoại di động của người mua để bảo đảm trong trường hợp mất mật khẩu thì cũng không mất tiền. Ngoài ra, chế độ thanh toán tạm giữ cho phép thực hiện thanh toán treo và tiền chỉ thực sự chuyển vào tài khoản của người bán khi người mua đã nhận hàng và phê chuẩn giao dịch. Chương trình bảo vệ người mua của NgânLượng.vn được thiết kế tương tự của PayPal, cam kết hoàn lại cho người mua 100% số tiền đã thanh toán trong trường hợp bị người bán lừa đảo.

Không chỉ có khả năng liên thông với eBay quốc tế, NgânLượng.vn còn cung cấp dịch vụ thanh toán nội địa cho các đơn vị tham gia giao dịch thương mại điện tử tại Việt Nam.

Giải pháp kết nối thanh toán điện tử của Intecom

Công ty Đầu tư và Phát triển công nghệ thông tin (Intecom) thuộc Tổng công ty Truyền thông đa phương tiện (VTC) là đơn vị cung cấp các dịch vụ nội dung số với các mảng hoạt động như VTC Game – trò chơi trực tuyến, VTC Mobile – các dịch vụ thông qua điện thoại di động, VTC News – báo chí (tạp chí truyền hình số VTC), VTC Paygate – hạ tầng thanh toán điện tử cho các dịch vụ nội dung số trên mạng và điện thoại di động, VTC Software – trung tâm phần mềm và phát triển hệ thống phần mềm cho các dịch vụ số.

Giải pháp thanh toán điện tử VTC eBank bao gồm: thẻ trả trước VTC Online, tin nhắn Mobile SMS, thoại 1900, tài khoản ngân hàng, VTC game online, nạp tài khoản trả trước, mua mã PIN mobile…

Mô hình thanh toán điện tử của VTC eBank là kết nối nạp tiền, kết nối chuyển khoản hai chiều, kết nối làm cổng thanh toán trong việc bán hàng, thu phí dịch vụ… với quy mô phục vụ tối đa hai tỷ tài khoản, số giao dịch đồng thời là hơn 32.000.

Giải pháp công nghệ Paygate của Intecom sử dụng công nghệ kiến trúc hướng đến dịch vụ (SOA). Tính năng bảo mật đường truyền và dữ liệu sử dụng giao thức HTTPS/SSL, chứng thực các giao dịch giữa các máy chủ kết nối sử dụng công nghệ chứng chỉ số RSA. Các chuẩn dữ liệu được sử dụng bao gồm chuẩn XML, chuẩn thông điệp giao dịch tài chính ISO 8583, các quy định chuẩn cấu trúc dữ liệu tự định nghĩa. Các giao thức kết nối bao gồm TTP/HTTPS, RMI, Socket TCP/IP, SOAP, MSQUEUE…

Về các giải pháp tích hợp với các tổ chức và doanh nghiệp ngành ngân hàng, tài chính, viễn thông, Intecom cùng các đối tác thống nhất các giao thức, bộ chỉ tiêu và thủ tục giao dịch dựa trên việc hiệu chỉnh và cải tiến các tiêu chuẩn quốc tế cho phù hợp với điều kiện ứng dụng tại Việt Nam.

Bảo vệ dữ liệu cá nhân tại các doanh nghiệp

Để có thể đưa ra nhận định tổng quát về thực trạng bảo vệ dữ liệu cá nhân trong các doanh nghiệp Việt Nam, cuối năm 2008, Cục Thương mại điện tử và Công nghệ thông tin – Bộ Công thương đã đề nghị 350 tổ chức (gồm các doanh nghiệp và hiệp hội) có ứng dụng thương mại điện tử trả lời phiếu điều tra về tình hình bảo vệ dữ liệu cá nhân trong thương mại điện tử.

Phiếu gồm nhiều tiêu chí, liên quan tới hiện trạng bảo vệ thông tin cá nhân tại các doanh nghiệp và tổ chức. Nội dung của phiếu điều tra bao gồm các câu hỏi liên quan đến hình thức thu thập thông tin cá nhân, mục đích sử dụng, loại hình thông tin được thu thập; việc tổ chức xin ý kiến của chủ thể thông tin khi thu thập; các vấn đề liên quan đến việc xây dựng, triển khai quy chế bảo vệ thông tin cá nhân, việc công bố chính sách bảo vệ thông tin cá nhân của khách hàng…

Đã có 132 tổ chức gửi phiếu trả lời về Cục Thương mại điện tử và Công nghệ thông tin, là các đơn vị hoạt động trong lĩnh vực ngân hàng, kinh doanh dịch vụ du lịch, sản xuất hàng hóa, dịch vụ phần mềm, đào tạo CNTT và thương mại điện tử, bất động sản và xây dựng…

Trong 132 tổ chức trả lời phiếu điều tra, 122 tổ chức có thu thập thông tin cá nhân. Có 114 tổ chức có thu thập địa chỉ e-mail của khách hàng. Khoảng 70% các doanh nghiệp có thu thập địa chỉ liên lạc. Bên cạnh đó, khoảng 60% doanh nghiệp cũng đã tiến hành thu thập thông tin về số tài khoản của khách hàng.

Về vấn đề bảo vệ dữ liệu cá nhân của khách hàng, trong tổng số 132 tổ chức tham gia khảo sát, chỉ có gần 20% cho biết có xây dựng quy chế về thu thập và bảo vệ thông tin cá nhân trong thương mại điện tử. Có 40% tổ chức cho biết sẽ xây dựng quy chế trong tương lai gần. Hơn 40% tổ chức còn lại cho biết chưa có kế hoạch xây dựng quy chế này.

Theo kết quả này, dự kiến trong tương lai gần, số lượng trang web có công bố quy chế về thu thập và sử dụng thông tin cá nhân trong giao dịch thương mại điện tử sẽ tăng đáng kể.

Mặc dù chưa có các quy chế cụ thể về việc thu thập và sử dụng thông tin cá nhân của khách hàng nhưng các doanh nghiệp Việt Nam cũng đã bước đầu kết hợp các biện pháp về quản lý và công nghệ để bảo vệ thông tin của khách hàng. 60% các doanh nghiệp cho biết có triển khai cả hai nhóm giải pháp công nghệ và quản lý để bảo vệ thông tin cá nhân của khách hàng.

Kết quả phân tích cho thấy, hầu hết các doanh nghiệp đều có thu thập thông tin cá nhân của khách hàng, song vẫn chưa nhận thức đầy đủ về tầm quan trọng của vấn đề bảo vệ các thông tin đó. Để có thể xây dựng được một cơ chế bảo vệ quyền lợi của khách hàng có hiệu quả, các doanh nghiệp cần tập trung nghiên cứu các quy định hiện hành của Nhà nước để xây dựng các cơ chế quản lý thông tin nội bộ phù hợp, bên cạnh đó, cần áp dụng các công nghệ bảo mật hiện đại để phòng chống các hành vi trộm cắp, xâm nhập bất hợp pháp vào hệ thống thông tin của doanh nghiệp mình.

Tiếng nói nhà quản lý

Ông Dương Hoàng Minh, Phó cục trưởng Cục Thương mại điện tử và Công nghệ thông tin, Bộ Công thương

Doanh nghiệp cần tích cực tham gia chứng thực trang web

Đến nay, định chế về thông tin cá nhân trong hệ thống luật Việt Nam được thể hiện ở Luật Dân sự năm 2005 (Điều 31 về quyền của cá nhân đối với hình ảnh; Điều 38 về quyền bí mật đời tư), Luật Giao dịch điện tử năm 2005 (Điều 45 về bảo vệ thông điệp dữ liệu; Điều 46 về bảo mật thông tin trong giao dịch điện tử) và Luật Công nghệ thông tin năm 2006 (Điều 21 và 22 về thu thập, xử lý, lưu trữ, cung cấp và sử dụng thông tin cá nhân trên môi trường mạng; Điều 70 về chống thư rác; Điều 72 về bảo đảm an toàn và bí mật thông tin).

Các cơ quan quản lý nhà nước cần hoàn thiện khung pháp lý về bảo vệ dữ liệu cá nhân trong thương mại điện tử bằng cách tham khảo các mô hình của nước ngoài, đặc biệt là các nước trong khu vực APEC. Ngoài ra, cơ quan quản lý nhà nước cũng cần nỗ lực trong công tác tuyên truyền, phổ biến cho doanh nghiệp, các tổ chức và cộng đồng về bảo vệ dữ liệu cá nhân. Bên cạnh đó cũng cần tăng cường năng lực cho các cơ quan hoạch định chính sách, cơ quan thực thi pháp luật về bảo vệ dữ liệu cá nhân.

Đến nay, Việt Nam chưa có một văn bản quy phạm pháp luật nào điều chỉnh các hành vi liên quan đến bảo vệ dữ liệu cá nhân một cách có hệ thống. Vì thế, Cục Thương mại điện tử và Công nghệ thông tin khuyến nghị các doanh nghiệp ngoài việc tuân thủ luật pháp, cần tích cực tham gia vào các chương trình chứng thực trang web thương mại điện tử an toàn và có uy tín của TrustVn… Người tiêu dùng cũng cần nâng cao ý thức về vấn đề bảo vệ thông tin cá nhân, chỉ cung cấp thông tin cho những tổ chức có quy chế bảo vệ dữ liệu cá nhân rõ ràng và minh bạch.

Cục Thương mại điện tử và Công nghệ thông tin cũng mong muốn được trao đổi kinh nghiệm với các chuyên gia, các doanh nghiệp để đề xuất đến cơ quan chức năng các giải pháp xây dựng, thực thi các vấn đề bảo vệ dữ liệu cá nhân có hiệu quả và phù hợp với hoàn cảnh thực tế của Việt Nam. Cục đang muốn tăng cường hợp tác với các đối tác, đồng nghiệp trong khu vực về vấn đề bảo vệ dữ liệu cá nhân và an toàn an ninh thông tin ở các cấp độ cơ quan quản lý nhà nước, tổ chức chứng thực và doanh nghiệp…

Ông Trần Hữu Linh, Phó cục trưởng Cục Thương mại điện tử và Công nghệ thông tin, Bộ Công thương

Trang bị kỹ năng mua hàng để tránh rủi ro

Nếu như 2006-2010 là giai đoạn xây dựng các hạ tầng cần thiết, thì đến 2011-2015, thương mại điện tử Việt Nam sẽ chuyển sang giai đoạn ứng dụng và phát triển. Dự báo trong vòng 3-5 năm tới, tỷ lệ người sử dụng Internet có thể chiếm khoảng một nửa dân số Việt Nam. Như vậy, thị trường cho thương mại điện tử sẽ có điều kiện phát triển tốt.

Về thị trường, sẽ ngày càng có nhiều doanh nghiệp thương mại điện tử nước ngoài vào Việt Nam. Sự xuất hiện của những thương hiệu lớn của thế giới như eBay, Yahoo!, Google và Alibaba thời gian qua là dấu hiệu cho thấy thương mại điện tử ở Việt Nam đang có sức hấp dẫn.

Để thương mại điện tử phát triển cần có các yếu tố đồng bộ từ pháp lý, viễn thông, Internet, thanh toán cho đến nguồn nhân lực. Tuy nhiên, ở giai đoạn này, nhận thức là yếu tố quan trọng hàng đầu đối với cả người tiêu dùng lẫn doanh nghiệp. Gần đây, một số vụ lừa đảo trực tuyến xuất hiện đã làm ảnh hưởng tới tâm lý của người tiêu dùng khiến nhiều người cho rằng kinh doanh trực tuyến là không an toàn.

Do đó, trong các giao dịch thương mại điện tử, người tiêu dùng cũng cần trang bị những kỹ năng mua hàng cần thiết để tránh rủi ro. Và các doanh nghiệp tham gia thương mại điện tử cũng cần tuân thủ các điều kiện về bảo vệ người tiêu dùng trong môi trường trực tuyến để tăng niềm tin nơi khách hàng. Bởi trong kinh doanh trực tuyến, nếu đã xây dựng được niềm tin nơi khách hàng thì việc giữ chân họ là rất dễ dàng. Các điển hình thành công trên thế giới như Amazon, eBay, Google đã cho thấy điều này.

Ông Vũ Quốc Thành, Phó chủ tịch Hiệp hội An toàn thông tin (Vnisa)

Đầu tư cho an toàn thông tin còn ít

Tổng đầu tư trong toàn xã hội ở Việt Nam cho vấn đề an toàn thông tin còn rất nhỏ so với nguy cơ mất an toàn thông tin.

Một cuộc điều tra mới đây của Vnisa cho thấy có khoảng 40% các tổ chức và doanh nghiệp đã có quy chế về an toàn thông tin. Trong số còn lại thì một nửa cho biết là sẽ xây dựng quy chế trong thời gian tới và một nửa chưa có ý định xây dựng quy chế này. Cuộc điều tra này cũng cho thấy, chỉ có 20% các tổ chức và doanh nghiệp có quy trình thao tác chuẩn để phản ứng với những cuộc tấn công máy tính.

Trong các hiểm họa về tấn công hệ thống thông tin đã gây thiệt hại cho các tổ chức và doanh nghiệp thì có tới hơn 20% là ăn cắp hay vi phạm tài sản và tài liệu mật, hơn 15% là phá hủy dữ liệu hay hệ thống. Các hành vi có tỷ lệ thấp hơn là tấn công từ chối dịch vụ, truy cập bất hợp pháp thông tin cá nhân, người trong tổ chức hoặc doanh nghiệp lạm dụng việc truy cập, tấn công làm suy giảm hiệu năng mạng, ngăn chặn hệ thống thông tin liên lạc hay thay đổi diện mạo trang web, virus máy tính…

Hiện các tổ chức đang sử dụng các công nghệ an toàn thông tin như: phần mềm chống virus, tường lửa, mạng riêng ảo VPN, hệ thống phát hiện xâm nhập trong mạng (IDS), mã hóa, kiểm soát truy cập, mật khẩu có thể sử dụng lại (reusable password), thẻ thông minh, mật khẩu dùng một lần, kiểm tra vân tay, chứng chỉ số, định danh…
Có một số vấn đề khó khăn mà các tổ chức đang gặp phải trong việc thực thi đảm bảo an toàn cho hệ thống thông tin là việc nâng cao nhận thức cho người sử dụng về bảo mật máy tính; sự thiếu hiểu biết về an toàn thông tin trong các tổ chức; người lãnh đạo chưa hỗ trợ đúng mức cho công tác an toàn thông tin; hệ thống máy tính không được quản lý tốt…